Vorsicht:Vundo

Dieser Text ist ein brandaktueller Bericht über einen Virenbefall, der beim regulären Surfen im Netz passieren kann. Keine Panik: nichts ging kaputt, es hatte eine gute Wendung und es besteht keine Gefahr.

Hier zunächst die beschriebenen, allesamt kostenlosen, Tools.

1.) Ein Virenschutz ist unumgänglich, zB. Avira AntiVir.

2.) Zum Beenden aktiver Prozesse (nur mit etwas Ahnung auch zu empfehlen): Unlocker (muss installiert werden).

3) Der betreffende Virus ist ein Vundo. Das macht ihn so kompliziert und schwer zu löschen. VundoFix.exe kann auch ihn knacken. Wenn der Desktop beim Ausführen verschwinden sollte, ist das normal.

Und nun der Bericht:

Sechs Stunden oder einen halben Tag hat eine bösartige DLL-Datei meinen Rechner lahm gelegt. Am Samstag noch fragte mich mein Bruder, ob der Matyes.de-Server eventuell von Spyware verseucht sein könne. Für mich war dies unvorstellbar. Als ich dann aber mein Profil in der MAT-Unity aktualisierte, tauchten auf einmal in meiner Taskleiste zwei untypische Fehlermeldungen im Windows-IE-Fehlermeldungslook auf. Rechts unten, als aktive Anwendungen, waren dort das gelbe Skriptfehler-Warnausrufezeichendreieck und der rote Kreis mit dem weißen „X“ zu sehen. Ein Schriftzug zeigte mir auf englisch an, dass mein System von Spyware infiziert sei und ich doch bitteschön („recommended!“) von einer dubiosen Seite kostenlose Virussoftware installieren solle. Ich klickte auf „Abbrechen“ und die Seite lud trotzdem. Ich brach den startenden Download ab, und es öffnete sich ein neues Fehlerfenster, dass der Download von Nöten sei.

Mit dem Task-Manager bekam ich diese Fehlerfenster in Griff. Doch statt der Pop-Ups hatte ich zwei Windows-Update-Verknüpfungen auf meinem Desktop: einmal das Windows-XP-Logo, einmal ein grünes Update-Logo. Sehr faszinierend, dieser Trick. Leider habe ich nämlich Windows 2000 noch in Benutzung und keine automatischen Updates aktiv. Also startete ich meinen A-Squared-HiJacker (ein Programm, das alle laufenden Prozesse, auch die, die man nicht sieht, untersucht). Leider fand der nichts, den dazugehörigen Virenscanner wollte ich nicht so lange laufen lassen. Bosso empfahl mir dann den Avira AntiVir. Diesen installiert, wurde ich prompt fündig. Nachdem ich die 10 „harmlosen“ Viren habe entfernen lassen, blieben drei nervige DLLs (Teilskripte einer Programmdatei) im Windows-Systemordner übrig. Aha, hier also hatte ich den Befall entdeckt. Den einen der drei konnte ich recht schnell entfernen. AntiVir kam nicht sofort mit dem Löschen zurecht, weil die Viren als Hintergrundprozesse aktiv waren. Nach einem Windows-Neustart war aber zumindest die DLL mit dem affigen (Zufalls-)Namen „affoacch.dll“ aus meinem „System32“-Order verschwunden. Aber AntiVir motzte nach wie vor und brach bei jedem Vorgang, jeder geöffneten Datei, ja sogar jedem Seitenzugriff im Internet-Explorer und auch im Firefox in jämmerliches Gepiepe aus. Ich begann, systematisch die Prozesse zu beenden. Irgendwann merkte der Virenscanner, dass die betriebsnotwendige Winlogon.exe als Virus auftrat. Er wollte sie löschen, ich erlaubte es – und hatte einen Neustartvorgang, der sich auf zwanzig Minuten hinzog.

Wie konnte ich nun den Teufel packen? AntiVir nannte mir die Namen der Krankheiten: TR/BHO.axg und TR/Vundo.DWB. Das TR steht für „Trojanisches Pferd“, die Aufgabe dieser Kerlchen ist es, mich auf nervige, verschmutzte Seiten zu leiten, mir Werbung von Neckermann (!) und anderen düsteren Unternehmen, die es mit sauberem Wettbewerb nicht so ernst nehmen, ungefragt einzublenden und schließlich mitzuprotokollieren, was ich bei diversen Suchmaschinen so suche. Und überhaupt welche Seiten ich besuche.

Dazu legte einer der beiden Trojaner Tausende temporäre Dateien auf meiner „C:“-Partition an. Und die konnte ich nicht löschen. Er schrieb ja die ganze Zeit neue Informationen über mich dort hinein. Mittlerweile aber hatte ich gefunden, was das Problem war. Ich kannte also immerhin meinen Feind. Und der war ziemlich nervig – und gewieft.

VundoFix knackte schließlich das hartnäckige Problem.

Einfache Viren kann man löschen, indem man sie als aktive Prozesse stoppt und dann die Dateien einfach von der Festplatte löscht. Beim nächsten Systemneustart sind die Viren dann hinüber. Sind die Schädlinge aber gewiefter, setzen sie sich „huckepack“ auf aktive, betriebswichtige Anwendungen. Sie lassen sich „einladen“, indem sie einen Eintrag in der Registrierung hinterlassen. Dort fand ich auch schnell die beiden Trojaner auf, wie sie sich von Winlogon.exe beim Starten anschalten ließen. Ich löschte die Einträge. Und stellte nach einem Neustart und noch vielen Versuchen fest, dass das Löschen nichts brachte. Die aktiven Anwendungen sorgten dafür, dass der Eintrag in der Registrierung bestehen blieb.

Das ist der Typ „Vundo“, dem beide angehören. Was zu tun war, wusste ich nun: irgendwie mussten die beiden DLLs innerhalb der aktiven Winlogon.exe gestoppt werden und dann gelöscht. Mit dem Firefox und einem immer wieder Alarm schlagenden AntiVir suchte ich in Trojanerforen nach anderen Opfern, die sich von Profis Rat geben ließen. Aktive DLLs kann man nicht stoppen. Vundos kann man nicht auf herkömmliche Weise „killen“. Doch es gab Hoffnung (auch, wenn die in neun von zehn Foren schon aufgegeben worden war). Ein Profi empfahl das kleine Tool „VundoFix.exe“.

Ich führte es aus, erst wurde eine halbe Stunde lang alles durchleuchtet – etwa zehn Treffer gab es. Dann startete VundoFix den Computer neu, schaltete sich noch vor die gefährlichen DLLs in die Winlogon und löschte die Viren. Dann konnte ich sogar die lästigen Pseudo-Windows-Update-Verknüpfungen von meinem Desktop entfernen. Und sie kamen nicht wieder.

Die tausenden aktiven TMP-Dateien auf meiner C:-Partition entfernte ich übrigens mit dem sinnvollen Tool „Unlocker“. Ich installierte das Programm, stellte ein, dass im Rechtsklick-Menü eine Kurzverbindung dazu ist, lies es laufen und löschte die Dateien einfach schnippeldi-zapp. Das sollte man aber nur tun, wenn man sich auch sicher ist, um welche Anwendungen es sich handelt. Sonst ist ebenso schnippeldi-zapp mal Windows nicht mehr startfähig.